|
萊迪思白皮書 受數據爆炸性增長并大規模向云端遷移、以及5G網絡全面部署等趨勢的影響,網絡攻擊(Cyberattacks)正變得更加肆無忌憚,其攻擊的速度和準確性都在不斷增長。多家分析和調研機構的數據證實了這一現象:根據埃森哲的報告,2020年,40%的網絡用戶攻擊源于供應鏈問題;Gartner則預測稱,如果2022年這些公司還沒有去做及時的固件升級計劃,補上固件安全漏洞,那么2022年將會有70%的公司因為固件漏洞遭到各種入侵。 理論上來說,沒有一個系統能免受攻擊威脅,所有系統都有被攻擊的危險。傳統的網絡安全(Cyber Security)系統可能會阻止許多攻擊,但如果當系統固件(Firmware)處于最低級別時,這種傳統的安全手段有時可能也會無能為力。 在長期的實踐積累中,萊迪思(Lattice)發現一個真正出色的安全解決方案,是通過增加網絡保護恢復(Cyber Resiliency)功能提升網絡安全系統等級,實時檢測任何正在進行的固件攻擊,并將系統恢復到已知狀態。而所有這一切的核心,就在于我們必須確保除了加密固件IP(encrypted firmware IP)的所有者之外,再沒有其他人可以訪問任何加密密鑰。 網絡安全與網絡保護恢復的區別 通常來說,網絡安全是指通過技術、流程和其他做法來保護網絡、設備、應用(程序)和數據免受網絡攻擊;網絡保護恢復是指系統在不利的網絡事件(例如網絡攻擊)出現時依然能夠持續交付預期結果,它包括信息安全、企業持續經營和全面的組織恢復能力。 簡單而言,兩者的主要區別在于檢測到網絡攻擊后的處理方式不同。雖然網絡安全包括了威脅檢測和預防的概念,但并非所有網絡安全解決方案都能讓系統根據這一概念實時采取行動緩和攻擊,解決攻擊造成的安全問題,并保持數據流安全傳輸而不中斷業務。實時威脅檢測和恢復正是網絡保護恢復的核心所在。 2020年,微軟推出Pluton安全處理器,在可信平臺模塊(TPM)概念的基礎上做了改進。根據微軟的描述,“Pluton是從現代計算機中現有的可信平臺模塊演變而來。TPM存儲操作系統安全相關的信息并實現類似Windows Hello的功能。”通過使用Pluton處理器,微軟將單獨的TPM功能集成到CPU中,成功阻斷對單獨放置在主板上的CPU和TPM之間的芯片間總線接口的攻擊。 作為網絡安全解決方案,Pluton無疑是非常強大的,但它在操作系統加載之前的啟動過程中并不能保系統。也就是說,主板上的組件從固件啟動、操作系統加載,直到網絡安全措施處于活動狀態,這之間短暫的時間窗口如今已成為網絡犯罪分子越來越感興趣的攻擊途徑。因此,為了增強像Pluton這樣的TPM安全性能,系統還需要在硬件可信根(HRoT)上實施強大的、動態的、網絡保護恢復機制。 例如,在進行安全啟動硬件時,主板上的每個組件僅在其固件被確認合法后才被激活,整個驗證過程由HRoT執行;此外,HRoT還會持續監控受保護CPU的非易失性固件,以納秒級響應對攻擊做出應對,防止其受到攻擊,這種在沒有外部協助的情況下快速恢復系統正常運行的能力,是系統網絡保護恢復機制的核心所在。 如前文所述,設備固件已經成為越來越流行的攻擊媒介,不管是廠商的路由器,還是在線的安全監控設備,都曾遇到固件被入侵的情況。因此,針對于固件攻擊的保護,美國國家標準與技術研究所(NIST)定義了一種標準的安全機制(NIST SP-800-193),稱為平臺固件保護恢復(PFR)。PFR可以用作系統中的硬件可信根,補充現有的基于BMC/MCU/TPM的體系,使之完全符合NIST SP-800-193標準,從而為保護企業服務器固件提供了一種全新的方法,可全面防止對服務器所有固件的攻擊。 NIST SP-800-193對整個硬件平臺上的固件保護提出的規范性要求主要包含三個部分:首先能夠檢測到黑客在對固件進行攻擊;第二是進行保護,例如有人在對固件進行非法的讀寫操作時,要阻止這些非法行為,并匯報給上層軟件,發出警告信息;第三是即使在固件遭到破壞的情況下,也能夠進行恢復,例如從備份文件中恢復。這三部分(恢復、檢測、保護)相互融合、相互配合,主要目的就是保護硬件平臺上的固件。 Sentry安全系統控制解決方案 Sentry方案并不僅僅只是一個硬件產品,它有一系列相配套的工具、軟件和服務,目前最新的版本為Sentry 2.0。 
從上圖可以看出,Sentry 2.0底層硬件平臺基于MachXO3D和Mach-NX FPGA,這是Lattice符合NIST平臺固件保護恢復標準、面向控制的FPGA。當使用上述硬件進行系統控制功能時,它們通常是電路板上“最先上電/最后斷電”的器件,通過集成安全和系統控制功能,MachXO3D和Mach-NX便成為系統保護信任鏈上的首個環節。 與TPM/MCU方案的控制流程和時序均采用串行處理方式不同,FPGA方案可以同時對多個外設進行監控和保護,因此實時性較強。而在檢測和恢復方面,FPGA器件能夠進行主動驗證,在面對時間敏感型應用或是強度較大的破壞時,可以做到更快的識別和響應。 硬件平臺之上則是一系列經過預驗證和測試的IP核、軟件工具、參考設計、演示示例、定制設計服務,它們共同構成了完整的Sentry方案。在其加持下,PFR應用的開發時間可以從10個月縮短到6周。 支持符合NIST平臺固件保護恢復(PFR)規范(NIST SP-800-193)和384位加密的下一代硬件可信根(HRoT),是Sentry 2.0解決方案的核心亮點。其主要特性包括: 更強大的安全性能——考慮到許多下一代服務器平臺都要求支持384位加密,所以Sentry解決方案集合支持Mach-NX安全控制FPGA和安全的Enclave IP模塊,能實現 384位加密(ECC-256/384和HMAC-SHA-384),更好地讓受到Sentry保護的固件防止未經授權的訪問。 啟動前身份驗證速度提高4倍——Sentry 2.0支持更快的ECDSA(40毫秒)、SHA(高達70 Mbps)和QSPI性能(64 MHz)。這些特性讓Sentry 2.0可以提供更快的啟動時間,最大程度減少系統停機時間,并降低啟動過程中遭受固件攻擊的風險。 實時監控多達五個固件鏡像——為進一步擴展基于萊迪思Sentry、符合PFR標準的硬件可信根的功能,該方案能夠在啟動和運行過程中實時監控系統中多達五個主板部件。相比之下,基于MCU的安全解決方案缺乏足夠的處理性能,無法實時準確地監控如此多的組件。
同時,為了讓開發人員可以在沒有任何FPGA設計經驗的情況下也能快速進行開發,Sentry可將經過驗證的IP模塊拖放到Lattice Propel設計環境中,修改所給的RISC-V/C語言參考代碼。 結語 面對網絡攻擊,新興的思維方式正在從“我們當然可以防止攻擊”轉變為“當攻擊發生時,我們是否能有更好的管理方式去應對?”,或者是,“我們該如何變得更加適應攻擊?”也許,答案就在于從固件級別起,腳踏實地的創建一套網絡保護恢復系統。 |
